我这博客用的是WordPress搭建的，WP我也用了十几年了，代码也大致看过，开发过几个插件，它最让我不爽的地方就是树大招风，一天到晚各种机器人来发垃圾评论，加上一堆垃圾网站推广referer，还有各种被扫描。

我的博客安全防护在相当长一段时间里我都是人肉来处理的，后来我开始利用nginx来半自动化管理，主要是git动态更新，再后来不断完善，现在我想做一个完整的管理方案。

垃圾评论处理

利用自带的插件限制，目前我设置的非常严格了，只要带链接的评论自动进入审核，当然光有插件完全不够，那些自动评论机器人短时间就能发好几百条，所以直接ip给上0/24套餐。

垃圾推广处理

通过nginx的http_user_agent和http_referer判断关键字，一旦有推广字眼，直接block掉ip。

恶意扫描处理

通过nginx的访问日志分析，经过关键字筛选，找到对应的ip，比如喜欢扫invokefunction，我的是中文博客，如果是非中文地域直接0/24套餐伺候，是中文地区ip直接给block，因为很多这类自动扫描的,是被人控制的肉鸡，直接上套餐容易误杀。

上面的这些操作可以做成完全自动化处理，给nginx增加一个屏蔽配置项，创建一个配置服务在后台，WP上只需要做一个插件监测评论和搜索关键字信息，只要发现异常的ip访问直接发消息给屏蔽服务，把对应ip追加进去，然后调用nginx -s reload即可。